Share via


Beheerde identiteit voor opslag

Beheerde identiteiten zijn een veelgebruikt hulpprogramma dat wordt gebruikt in Azure om ontwikkelaars te helpen bij het minimaliseren van het beheer van geheimen en aanmeldingsgegevens. Beheerde identiteiten zijn handig wanneer Azure-services verbinding maken met elkaar. In plaats van autorisatie tussen elke service te beheren, kan Microsoft Entra-id worden gebruikt om een beheerde identiteit te bieden die het verificatieproces gestroomlijnder en veiliger maakt.

Beheerde identiteit gebruiken met opslagaccounts

Op dit moment kan Azure Cache voor Redis een beheerde identiteit gebruiken om verbinding te maken met een opslagaccount, handig in twee scenario's:

Met beheerde identiteit kunt u het proces voor het veilig verbinden met uw gekozen opslagaccount voor deze taken vereenvoudigen.

Azure Cache voor Redis ondersteunt beide typen beheerde identiteiten:

  • Door het systeem toegewezen identiteit is specifiek voor de resource. In dit geval is de cache de resource. Wanneer de cache wordt verwijderd, wordt de identiteit verwijderd.

  • Door de gebruiker toegewezen identiteit is specifiek voor een gebruiker, niet voor de resource. Deze kan worden toegewezen aan elke resource die beheerde identiteit ondersteunt en blijft zelfs wanneer u de cache verwijdert.

Elk type beheerde identiteit heeft voordelen, maar in Azure Cache voor Redis is de functionaliteit hetzelfde.

Beheerde identiteit inschakelen

Beheerde identiteit kan worden ingeschakeld wanneer u een cache-exemplaar maakt of nadat de cache is gemaakt. Tijdens het maken van een cache kan alleen een door het systeem toegewezen identiteit worden toegewezen. Elk identiteitstype kan worden toegevoegd aan een bestaande cache.

Bereik van beschikbaarheid

Laag Basic, Standard Premium Enterprise, Enterprise Flash
Beschikbaar Nr. Ja Nr.

Vereisten en beperkingen

Beheerde identiteit voor opslag wordt nu alleen gebruikt met de functie import/export en persistentie, waardoor het gebruik wordt beperkt tot de Premium-laag van Azure Cache voor Redis.

Beheerde identiteit voor opslag wordt niet ondersteund in caches die afhankelijk zijn van Cloud Services (klassiek). Zie Hoe kan ik weten of een cache van invloed is op de cache voor meer informatie over het controleren of uw cache gebruikmaakt van Cloud Services (klassiek).

Een nieuwe cache met beheerde identiteit maken met behulp van de portal

  1. Meld u aan bij het Azure-portaal.

  2. Maak een nieuwe Azure Cache voor Redis-resource met een cachetype van een van de Premium-lagen. Het tabblad Basisinformatie voltooien met alle vereiste informatie.

    Schermopname van het maken van een Premium-cache.

  3. Selecteer het tabblad Geavanceerd . Schuif vervolgens omlaag naar door het systeem toegewezen beheerde identiteit en selecteer Aan.

    Schermopname van het zaaien van de pagina Geavanceerd van het formulier.

  4. Voltooi het aanmaakproces. Zodra de cache is gemaakt en geïmplementeerd, opent u deze en selecteert u het tabblad Identiteit onder de sectie Instellingen aan de linkerkant. U ziet dat er een door het systeem toegewezen object-id is toegewezen aan de cacheidentiteit.

    Schermopname van identiteit in het menu Resource.

Door het systeem toegewezen identiteit toevoegen aan een bestaande cache

  1. Navigeer vanuit Azure Portal naar uw Azure Cache voor Redis-resource. Selecteer Identiteit in het menu Resource aan de linkerkant.

  2. Als u een door het systeem toegewezen identiteit wilt inschakelen, selecteert u het tabblad Systeem toegewezen en selecteert u Aan onder Status. Selecteer Opslaan om te bevestigen.

    Schermopname van systeem toegewezen geselecteerd en Status is ingeschakeld.

  3. Er verschijnt een dialoogvenster met de mededeling dat uw cache wordt geregistreerd bij Microsoft Entra-id en dat deze machtigingen kan krijgen voor toegang tot resources die zijn beveiligd door Microsoft Entra ID. Selecteer Ja. Schermopname waarin wordt gevraagd of u beheerde identiteit wilt inschakelen.

  4. U ziet een object-id (principal) die aangeeft dat de identiteit is toegewezen.

    Schermopname van de object-id (principal).

Een door de gebruiker toegewezen identiteit toevoegen aan een bestaande cache

  1. Navigeer vanuit Azure Portal naar uw Azure Cache voor Redis-resource. Selecteer Identiteit in het menu Resource aan de linkerkant.

  2. Als u door de gebruiker toegewezen identiteit wilt inschakelen, selecteert u het tabblad Door de gebruiker toegewezen en selecteert u Toevoegen.

    De door de gebruiker toegewezen identiteitsstatus is ingeschakeld.

  3. Er wordt een zijbalk weergegeven zodat u een door de gebruiker toegewezen identiteit kunt selecteren voor uw abonnement. Kies een identiteit en selecteer Toevoegen. Zie De door de gebruiker toegewezen identiteiten beheren voor meer informatie over door de gebruiker toegewezen beheerde identiteiten.

    Schermopname van een door de gebruiker toegewezen beheerde identiteit.

  4. U ziet de door de gebruiker toegewezen identiteit in het deelvenster Door de gebruiker toegewezen identiteit.

    Schermopname van een lijst met namen, resourcegroepen en abonnementen.

Beheerde identiteit inschakelen met behulp van de Azure CLI

Gebruik de Azure CLI voor het maken van een nieuwe cache met beheerde identiteit of het bijwerken van een bestaande cache om een beheerde identiteit te gebruiken. Zie az redis create of az redis identity voor meer informatie.

Als u bijvoorbeeld een cache wilt bijwerken voor het gebruik van door het systeem beheerde identiteit, gebruikt u de volgende CLI-opdracht:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Beheerde identiteit inschakelen met Behulp van Azure PowerShell

Gebruik Azure PowerShell voor het maken van een nieuwe cache met beheerde identiteit of het bijwerken van een bestaande cache om een beheerde identiteit te gebruiken. Zie New-AzRedisCache of Set-AzRedisCache voor meer informatie.

Als u bijvoorbeeld een cache wilt bijwerken om een door het systeem beheerde identiteit te gebruiken, gebruikt u de volgende PowerShell-opdracht:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Opslagaccount configureren voor het gebruik van een beheerde identiteit

Belangrijk

Beheerde identiteit moet worden geconfigureerd in het opslagaccount voordat Azure Cache voor Redis toegang heeft tot het account voor persistentie of import-/exportfunctionaliteit. Als deze stap niet correct wordt uitgevoerd, ziet u fouten of geen gegevens die zijn geschreven.

  1. Maak een nieuw opslagaccount of open een bestaand opslagaccount dat u wilt verbinden met uw cache-exemplaar.

  2. Open het toegangsbeheer (IAM) in het menu Resource. Selecteer vervolgens Toevoegen en roltoewijzing toevoegen.

    Schermopname van de IAM-instellingen (Access Control).

  3. Zoek in het deelvenster Rol naar de bijdrager voor opslagblobgegevens. Selecteer deze en Volgende.

    Schermopname van het formulier Roltoewijzing toevoegen met een lijst met rollen.

  4. Selecteer het tabblad Leden. Selecteer onder Toegang toewijzen om Beheerde identiteit te selecteren en selecteer leden selecteren. Er verschijnt een zijbalk naast het werkvenster.

    Schermopname van het formulier Roltoewijzing toevoegen met het deelvenster Leden.

  5. Gebruik de vervolgkeuzelijst onder Beheerde identiteit om een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit te kiezen. Als u veel beheerde identiteiten hebt, kunt u zoeken op naam. Kies de gewenste beheerde identiteiten en selecteer vervolgens. Controleer vervolgens en wijs deze toe om te bevestigen.

    Schermopname van het formulier Beheerde identiteit met door de gebruiker toegewezen beheerde identiteit aangegeven.

  6. U kunt controleren of de identiteit is toegewezen door de roltoewijzingen van uw opslagaccount te controleren onder Inzender voor opslagblobgegevens.

    Schermopname van de lijst met inzenders voor opslagblobgegevens.

Notitie

Als u wilt exporteren met een opslagaccount met firewall-uitzonderingen, moet u het volgende doen:

Als u geen beheerde identiteit gebruikt en in plaats daarvan een opslagaccount met een sleutel autoriseert, worden firewall-uitzonderingen op het opslagaccount het persistentieproces en de import-exportprocessen verbroken.

Beheerde identiteit gebruiken voor toegang tot een opslagaccount

Beheerde identiteit gebruiken met gegevenspersistentie

  1. Open het Azure Cache voor Redis exemplaar waaraan de rol Inzender voor opslagblobgegevens is toegewezen en ga naar de gegevenspersistentie in het menu Resource.

  2. Wijzig de verificatiemethode in Beheerde identiteit en selecteer het opslagaccount dat u eerder in het artikel hebt geconfigureerd. selecteer Opslaan.

    Schermopname van het deelvenster Gegevenspersistentie met verificatiemethode geselecteerd.

    Belangrijk

    De identiteit wordt standaard ingesteld op de door het systeem toegewezen identiteit als deze is ingeschakeld. Anders wordt de eerste door de gebruiker toegewezen identiteit gebruikt.

  3. Back-ups van gegevenspersistentie kunnen nu worden opgeslagen in het opslagaccount met behulp van verificatie van beheerde identiteiten.

    Schermopname van het exporteren van gegevens in het menu Resource.

Beheerde identiteit gebruiken om cachegegevens te importeren en exporteren

  1. Open uw Azure Cache voor Redis exemplaar waaraan de rol Inzender voor opslagblobgegevens is toegewezen en ga naar het tabblad Importeren of Exporteren onder Beheer istratie.

  2. Als u gegevens importeert, kiest u de blobopslaglocatie met het gekozen RDB-bestand. Als u gegevens exporteert, typt u het gewenste voorvoegsel van de blobnaam en de opslagcontainer. In beide situaties moet u het opslagaccount gebruiken dat u hebt geconfigureerd voor toegang tot beheerde identiteiten.

    Schermopname met Beheerde identiteit geselecteerd.

  3. Kies onder Verificatiemethode respectievelijk Beheerde identiteit en selecteer Importeren of Exporteren.

Notitie

Het importeren of exporteren van de gegevens duurt enkele minuten.

Belangrijk

Als u een export- of importfout ziet, controleert u of uw opslagaccount is geconfigureerd met de door het systeem toegewezen of door de gebruiker toegewezen identiteit van uw cache. De gebruikte identiteit wordt standaard ingesteld op door het systeem toegewezen identiteit als deze is ingeschakeld. Anders wordt de eerste door de gebruiker toegewezen identiteit gebruikt.